Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例
目次
概要前提条件要件使用するコンポーネント設定ネットワーク図設定ASDM の設定CLI 設定NPS 設定の Windows 2008 サーバ確認ASA のデバッグトラブルシューティング
概要
レガシー Cisco VPN Client/AnyConnect/Clientless WebVPN ユーザがアクティブ ディレクトリに対して認証されるようにこの資料に RADIUSプロトコルの Microsoft Windows 2008 ネットワークポリシー サーバ(NPS)と通信するために適応型セキュリティ アプライアンス(ASA)ソフトウェア設定する方法を(ASA)説明されています。 NPS は Windows 2008 サーバによって提示されるサーバ役割の 1 つです。 それは Windows 2003 サーバと同等、リモート ダイヤルイン ユーザ 認証を提供する RADIUSサーバの実装の IAS (Internet Authentication Service)です。 同様に、Windows 2008 サーバで、NPS は RADIUSサーバの実装です。 基本的には、ASA は NPSRADIUSサーバへ RADIUSクライアントです。 ASA は VPN ユーザに代わって RadiusAuthentication 要求を送信 し、NPS はアクティブ ディレクトリに対してそれらを認証します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
バージョン 9.1(4)を実行する ASA●
アクティブ ディレクトリ ディレクトリー・サービスを用いる Windows 2008 R2 サーバおよびインストールされる NPS 役割
●
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
設定
注: このセクションで使用されているコマンドの詳細を調べるには、Command LookupTool(登録ユーザ専用)を使用してください。
ネットワーク図
設定
ASDM の設定
NPS 認証が必要となるトンネル グループを選択して下さい。1.基本を『Edit』 をクリック し、選択して下さい。2.Authentication セクションで、『Manage』 をクリック して下さい。3.
AAA サーバ グループでは区分して下さい、『Add』 をクリック して下さい。4.AAAサーバグループ フィールドでは、サーバグループの名前を入力して下さい(たとえば、NPS)。
5.
プロトコル ドロップダウン リストから、『RADIUS』 を選択 して下さい。6.[OK] をクリックします。7.
選択したグループ セクションのサーバでは、追加される AAAサーバグループを選択し、『Add』 をクリック して下さい。
8.
サーバ名か IP Address フィールドでは、サーバのIPアドレスを入力して下さい。9.サーバシークレット Key フィールドでは、秘密鍵を入力して下さい。10.サーバが別のポートで受信しなかったらデフォルト値でサーバ認証 ポートおよびサーバ アカウンティングポート フィールドを残して下さい。
11.
[OK] をクリックします。12.[OK] をクリックします。13.
AAAサーバグループ ドロップダウン リストから、前の手順に追加されるグループ(この例の NPS)を選択して下さい。
14.
[OK] をクリックします。15.
CLI 設定
aaa-server NPS protocol radius
aaa-server NPS (inside) host 10.105.130.51
key *****
tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) NPS
tunnel-group TEST webvpn-attributes
group-alias TEST enable
ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0
デフォルトで、ASA は非暗号化 パスワード 認証プロトコル(PAP)認証種別を使用します。 これは RADIUS要求 パケットを送信 するとき ASA が平文のパスワードを送信することを意味しません。 むしろ、プレーンテキストのパスワードは RADIUS 共有秘密と暗号化されます。
パスワード管理がトンネル グループの下で有効に なる場合、ASA はプレーンテキストのパスワードを暗号化するために MSCHAP-v2 認証種別を使用します。 このような場合 MicrosoftCHAPv2 可能なチェックボックスが ASDM コンフィギュレーションセクションで設定される編集AAAサーバ ウィンドウ チェックインされるように、して下さい。
tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) NPS
password-management
注: テスト aaa-server 認証コマンドは PAP を常に使用します。 ユーザが始まるときだけ有効に なる パスワード管理が付いているトンネル グループへの接続は ASA 使用 MSCHAP-v2 をします。 また、「パスワード管理[パスワード切ら日日]」オプションは LightweightDirectory Access Protocol (LDAP)でだけサポートされます。 RADIUS はこの機能を提供しません。 パスワードがアクティブ ディレクトリで既に切れている場合パスワードがオプション切れるが表示されます。
NPS 設定の Windows 2008 サーバ
NPS サーバ役割ははずでインストールされ、Windows 2008 サーバで動作しますである。 そうでなかったら、> 管理ツール > ロール サービス サーバー ロールの > Add 『Start』 を選択 して下さい。 ネットワーク ポリシー サーバを選択し、ソフトウェアをインストールして下さい。 NPSサーバ役割がインストールされていたら、NPS を ASA からの Radius Authentication 要求を受け入れ、処理するために設定するためにこれらのステップを完了して下さい:
NPS サーバの RADIUSクライアントとして ASA を追加して下さい。 > ネットワーク ポリシー サーバ 『Administrative Tools』 を選択 して下さい。RADIUSクライアントを右クリックし、『New』 を選択 して下さい。
表示名、ASA で設定されるアドレス(IP か DNS)、および共有秘密を入力して下さい。
1.
VPN ユーザ向けの新しい接続 要求 ポリシーを作成して下さい。 接続要求 ポリシーの目的は RADIUSクライアントからの要求がローカルで処理されるか、またはリモートRADIUSサーバに転送されるべきであるかどうか規定 することです。 の下で NPS > ポリシーは、接続要求ポリシーを右クリックし、新しいポリシーを作成します。ネットワークの種類 アクセス サーバ ドロップダウン リストから、明記していない選択して下さい。
2.
Settings タブをクリックして下さい。フォワーディング 接続要求の下で、認証を選択して下さい。 この Serverオプション・ボタンの認証する 要求を選択されます確認して下さい。[OK] をクリックします。
どのユーザが認証を受けることができるか規定できるネットワーク ポリシーを追加して下さい。たとえば、状態としてアクティブ ディレクトリ ユーザグループを追加できます。 に指定されたウィンドウ属するそれらのユーザだけこのポリシーの下で認証されますグループ化します。NPS の下で、『Policies』 を選択 して下さい。ネットワーク ポリシーを右クリックし、新しいポリシーを作成して下さい。グラントを確認して下さいアクセス オプション ボタンが選択される。ネットワークの種類 アクセス サーバ ドロップダウン リストから、明記していない選択して下さい。
3.
条件タブをクリックして下さい。[Add] をクリックします。ASA の IP アドレスをようにクライアント IPv4 アドレス状態入力して下さい。VPN ユーザが含まれているアクティブ ディレクトリ ユーザグループを入力して下さい。
グループ ポリシー アトリビュート(NPS RADIUSサーバからの 25) アトリビュートを渡して下さい
グループ ポリシーが NPS RADIUSサーバとユーザに動的に割り当てられる必要がある場合、グループ ポリシー RADIUS特性(アトリビュートは 25)利用することができます。
ユーザにグループ ポリシーの動的割り当てのための RADIUS特性 25 を送るためにこれらのステップを完了して下さい。
ネットワーク ポリシーが追加された後、要求されたネットワーク ポリシーを右クリックし、Settings タブをクリックして下さい。
1.
属性 > 規格を『RADIUS』 を選択 して下さい。 [Add] をクリックします。 すべてとしてアクセス タイプを残して下さい。
2.
属性ボックスで、クラスを選択し、『Add』 をクリック して下さい。 ストリングとして属性値を、すなわち、グループ ポリシーの名前入力して下さい。 この名前のグループ ポリシーが ASA で設定されなければならないことを覚えていて下さい。 これは RADIUS 応答のこのアトリビュートを受け取った後 ASA が VPN セッションにそれを割り当てるようにあります。
3.
確認
ここでは、設定が正常に動作していることを確認します。
注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
ASA デバッグ
ASA のイネーブル debug radius すべて。
ciscoasa# test aaa-server authentication NPS host 10.105.130.51 username vpnuser password
INFO: Attempting Authentication test to IP address <10.105.130.51> (timeout: 12 seconds)
radius mkreq: 0x80000001
alloc_rip 0x787a6424
new request 0x80000001 --> 8 (0x787a6424)
got user 'vpnuser'
got password
add_req 0x787a6424 session 0x80000001 id 8
RADIUS_REQUEST
radius.c: rad_mkpkt
RADIUS packet decode (authentication request)
--------------------------------------
Raw packet data (length = 65).....
01 08 00 41 c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f | ...A.....~m...
40 50 a8 36 01 09 76 70 6e 75 73 65 72 02 12 28 | @P.6..vpnuser..(
c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 04 | .h.........Z.oC.
06 0a 69 82 de 05 06 00 00 00 00 3d 06 00 00 00 | ..i........=....
05 | .
Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 8 (0x08)
Radius: Length = 65 (0x0041)
Radius: Vector: C41BAB1AE37E6D12DA876F7F4050A836
Radius: Type = 1 (0x01) User-Name
Radius: Length = 9 (0x09)
Radius: Value (String) =
76 70 6e 75 73 65 72 | vpnuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
28 c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 | (.h.........Z.oC
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.105.130.52 (0x0A6982DE)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x0
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 10.105.130.51/1645
rip 0x787a6424 state 7 id 8
rad_vrfy() : response message verified
rip 0x787a6424
: chall_state ''
: state 0x7
: reqauth:
c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f 40 50 a8 36
: info 0x787a655c
session_id 0x80000001
request_id 0x8
user 'vpnuser'
response '***'
app 0
reason 0
skey 'cisco'
sip 10.105.130.51
type 1
RADIUS packet decode (response)
--------------------------------------
Raw packet data (length = 78).....
02 08 00 4e e8 88 4b 76 20 b6 aa d3 0d 2b 94 37 | ...N..Kv ....+.7
bf 9a 6c 4c 07 06 00 00 00 01 06 06 00 00 00 02 | ..lL............
19 2e 9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a | .........7.....j
2c bf 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf | ,.....<..n...@..
1e 3a 18 6f 05 81 00 00 00 00 00 00 00 03 | .:.o..........
Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 8 (0x08)
Radius: Length = 78 (0x004E)
Radius: Vector: E8884B7620B6AAD30D2B9437BF9A6C4C
Radius: Type = 7 (0x07) Framed-Protocol
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x1
Radius: Type = 6 (0x06) Service-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x2
Radius: Type = 25 (0x19) Class
Radius: Length = 46 (0x2E)
Radius: Value (String) =
9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a 2c bf | .......7.....j,.
00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf 1e 3a | ....<..n...@...:
18 6f 05 81 00 00 00 00 00 00 00 03 | .o..........
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0x787a6424 session 0x80000001 id 8
free_rip 0x787a6424
radius: send queue empty
INFO: Authentication Successful
トラブルシューティング
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
ASA 確認して下さいと NPS サーバ間の接続をよいです。サーバが到達可能どこにからであるか)認証要求を確認するためにパケットキャプチャを残します ASA インターフェイスを加えて下さい(。 それを確認するためにパスのデバイスが UDP ポート 1645 (デフォルト ラジウス 認証 ポート)を達する NPS サーバにブロックしないことを確認して下さい。 ASAのパケットキャプチャに関する詳細は ASA/PIX/FWSM で見つけることができます: CLI および ASDM 設定例を使用してキャプチャ する パケット。
●
認証がそれでも失敗した場合、ウィンドウ NPS のイベント ビューアを検知 して下さい。 イベント ビューア > ウィンドウ ログの下で、『Security』 を選択 して下さい。 認証要求の時のまわりに NPS と関連付けられるイベントを探して下さい。
●
イベント プロパティを開けば、例に示すように失敗については原因を見られますはずです。この例では、PAP はネットワーク ポリシーの下の認証種別として選択されませんでした。それ故に、認証要求は失敗します。 Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 2/10/2014 1:35:47 PM
Event ID: 6273
Task Category: Network Policy Server
Level: Information
Keywords: Audit Failure
User: N/A
Computer: win2k8.skp.com
Description:
Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: SKP\vpnuser
Account Name: vpnuser
Account Domain: SKP
Fully Qualified Account Name: skp.com/Users/vpnuser
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: -
Calling Station Identifier: -
NAS:
NAS IPv4 Address: 10.105.130.69
NAS IPv6 Address: -
NAS Identifier: -
NAS Port-Type: Virtual
NAS Port: 0
RADIUS Client:
Client Friendly Name: vpn
Client IP Address: 10.105.130.69
Authentication Details:
Connection Request Policy Name: vpn
Network Policy Name: vpn
Authentication Provider: Windows
Authentication Server: win2k8.skp.com
Authentication Type: PAP
EAP Type: -
Account Session Identifier: -
Logging Results: Accounting information was written to the local log file.
Reason Code: 66
Reason: The user attempted to use an authentication method that is
not enabled on the matching network policy.